Защищаем Windows-системы с помощью CORE FORCE

Сергей Яремчук

Несмотря на все заявления разработчиков, Windows так и не стала сверхзащищенной системой, способной противостоять современным угрозам. И вряд ли ктото уверен, что традиционно используемые средства защиты способны полноценно защитить компьютер от неизвестных 0-day-атак. Только комплексный подход способен решить эту проблему.

В UNIX-подобных операционных системах давно известны решения, позволяющие остановить неизвестную атаку путем принудительного ограничения рабочего пространства приложения, глобально через chroot или более тонко RSBAC, LIDS и пр. В последнем случае поступают очень просто. Запускают приложение и наблюдают, к каким файлам происходит обращение и какой режим – чтение/запись – требуется. Затем в результате создается профиль приложения, который и описывается в виде правил, контролируемых на уровне ядра. Если приложение попробует выйти за указанные рамки, то такое действие в зависимости от настроек может быть запрещено. Безотказно в UNIX действуют и утилиты контроля целостности. Стоит только измениться какому-то важному файлу, как администратор будет оповещен. Но для Windows реализовать такую вроде бы довольно простую систему как-то не решались. Причин здесь, вероятно, много, и сказать, какая из них является решающей довольно трудно. В UNIX и Windows не только разные архитектуры, но и строение файловой системы. Так, в UNIX все исполняемые файлы согласно стандарта файловой системы традиционно собраны в одном месте (/bin, /sbin и пр.), статические конфигурационные – в другом, а растущие журналы – в третьем, пользователи также ограничены своим рабочим пространством. Это все довольно легко описать при помощи простых правил. В Windows все несколько сложнее. Файлы раскиданы по разным каталогам, настройки могут сохраняться не только в разные ветки реестра, но и в индивидуальных конфигурационных файлах. Все это порождает некий бардак, так как программа должна иметь доступ во множество мест, что отследить гораздо труднее, да и пользователь традиционно имеет самые высокие права в системе. Также не вызывает сомнений, что UNIX-пользователь, подготовлен на порядок лучше пользователя Windows, который обычно полностью полагается на работу мастеров, часто не вникая в подробности. Поэтому последний скорее всего не будет в восторге от того, что придется описывать поведение для каждой устанавливаемой им программы. А если их десятки? Но должен же быть выход?

Подход CORE FORCE

Вероятно, разработчиков CORE FORCE [1] эти и другие проблемы не смогли остановить, и была создана система, которая при правильной настройке способна решить задачу по защите персонального компьютера от вирусов, известных и неизвестных уязвимостей, шпионских программ, червей, троянских программ и прочих подарков, которыми традиционно богат сегодняшний Интернет. CORE FORCE представляет собой несколько нетрадиционное решение по обеспечению безопасности персональных компьютеров, работающих под управлением Windows 2000 и XP.

Это узловая система предотвращения атак (host-based Intrusion Prevention System – H-IPS) с интегрированным сетевым экраном. Контролируется четыре основных параметра: входящие и исходящие сетевые пакеты, доступ к файловой системе и реестру, целостность исполняемых файлов. Эти возможности могут быть сконфигурированы как на системном, так и прикладном уровнях для специфических программ (почтовых клиентов, веб-браузеров, видео- и аудиопроигрывателей и пр.). Каждому приложению можно дать доступ к определенным частям файловой системы и реестра, со строгим ограничением прав, только на чтение или возможность модификации объектов. Также определяется разрешенная конкретному приложению сетевая активность.